Ein „Stand alone“-Protokollstapel für den Embedded-Bereich Gerätekommunikation via Virtual Private Networks (VPN)

Die Einbindung von Embedded-Systemen in Netzwerke bringt zahlreiche Vorteile mit sich. Damit jedoch die Endsysteme und das Gesamtsystem nicht kompromittiert werden können, müssen verschiedene Sicherheitsaspekte berücksichtigt werden. Dieser Beitrag beschäftigt sich mit grundsätzlichen Architekturen und konkreten Lösungen zu diesem Problem.

Ein „Stand alone“-Protokollstapel für den Embedded-Bereich

Die Einbindung von Embedded-Systemen in Netzwerke bringt zahlreiche Vorteile mit sich. Damit jedoch die Endsysteme und das Gesamtsystem nicht kompromittiert werden können, müssen verschiedene Sicherheitsaspekte berücksichtigt werden. Dieser Beitrag beschäftigt sich mit grundsätzlichen Architekturen und konkreten Lösungen zu diesem Problem.

Embedded-Systeme werden zunehmend vernetzt; hierbei tritt neben die spezifischen Feld- und Industriebusse verstärkt die Nutzung des Internet-Protokolls, da dieses die Verwendung standardisierter Schnittstellen und Applikationen eines praktisch überall verfügbaren Netzes auf kostengünstige Weise erlaubt. Hierdurch eröffnet sich aber auch für Embedded-Systeme ein Sicherheitsrisiko, das mit einer Anbindung an das öffentliche Internet steigt:

  • Mit der Nutzung standardisierter Internet-Protokolle steigt die Wahrscheinlichkeit systematischer Angriffe auf das System, z.B. durch Port-Scanner, Viren oder „Denial of Service“-Attacken.
  • Die Vertraulichkeit der Daten ist im öffentlichen Internet nicht gegeben.
  • Drahtlose Netze lassen sich auch physikalisch einfach abhören und angreifen. Vor dem Hintergrund der immer weiter vordringenden drahtlosen Netze auch im Embedded-Bereich [1] wird ein umfassendes Sicherheitskonzept immer wichtiger.

Problematisch erscheint in diesem Zusammenhang, dass Embedded-Systeme in der Regel über eine sehr viel geringere Leistungsfähigkeit verfügen als PC-basierte Systeme [2]. Zudem werden diese oft über Jahre hinweg betrieben. Dies stellt besondere Anforderungen an die Architektur, da heutige Implementierungsentscheidungen noch in Jahrzehnten Bestand haben müssen. Darüber hinaus arbeiten Embedded-Systeme autonom und in der Regel ohne die permanente Betreuung durch einen Administrator. Embedded-Systeme verwalten dabei nicht nur Daten, sondern häufig auch Geräte und Anlagen. Die zunehmende Verbreitung und die eingeschränkten Schutzmechanismen machen Embedded-Systeme zu attraktiven Angriffszielen. Es wäre aber falsch, den Weg der über das Internet-Protokoll gekoppelten verteilten Embedded-Systeme nicht weiter zu verfolgen. Ein sicherer Betrieb auch von vernetzten Embedded-Systemen ist durchaus möglich. Allerdings ist hierfür eine Reihe von Regeln zu beachten.

Sicherheitsziele

Sicherheit kann beschrieben werden als „Zustand des Nichtvorhandenseins von oder Schutz vor Gefahren und Risiken“. Sicherheit ist damit aber eine nur subjektiv wahrnehmbare Größe, die weder direkt sichtbar noch messbar ist. Dabei umfasst der deutsche Begriff „Sicherheit“ zwei Aspekte:

  • „Safety“ bezieht sich auf die Zuverlässigkeit eines Systems, z.B. auf dessen Ablauf- und Ausfallsicherheit.
  • „Security“ bezieht sich auf den Schutz eines Systems vor beabsichtigten Angriffen.

Eine sichere Kommunikation von Geräten in Netzwerken schließt im Sinne von „Security“ mindestens die folgenden Aspekte ein, deren wechselseitige Abhängigkeit in Bild 1 dargestellt ist. Vertraulichkeit (Confidentiality, Privacy) bezeichnet die Sicherheit gegen den unerlaubten Zugriff auf Informationen, der zu einem Informationsgewinn beim Abhörenden führt. Integrität (Integrity) hingegen umfasst den Schutz gegen die meist partielle Veränderung von Informationen. In Bezug auf die Funktion eines Netzwerks kann sich die Integrität sowohl auf die Inhalte von Datenpaketen als auch auf deren Steuerinformationen und hierbei insbesondere auf die Adressierung beziehen. In diesem Sinne ist Integrität mit der Authentifizierung (Authentication) eng verbunden. Dabei wird überprüft, ob ein Sender wirklich derjenige ist, der dieser zu sein vorgibt. Die Autorisierung (Autorisation) hingegen beschreibt die Zugangssteuerung, so dass bestimmte Informationen oder Dienste nur einem beschränkten Kreis von authentifizierten Nutzern zur Verfügung stehen. Verbindlichkeit oder Unabstreitbarkeit (Non-Repudiation) gewährleistet, dass ein Subjekt die durchgeführten Aktionen nicht abstreiten kann, während Verfügbarkeit (Availability) und Zugang (Access) besagen, dass Informationen nur dort und dann zugänglich sind, wo und wann sie von Berechtigten gebraucht werden. Unberechtigte haben weder einen Zugang zu den Informationen, noch sind sie in der Lage, die Verfügbarkeit der Informationen zu stören.